Что такое социальная инженерия?

социальная инженерия

Что такое социальная инженерия?

Очень оригинально звучащее для русского уха название – социальная инженерия – это пословный перевод с английского одного из самого прибыльного и витиевато исполняемого разнообразия схем обмана и добычи наших с вами заработанных средств.  Началось всё с того, как целая группа хакеров сосредоточила своё внимание на одной из крупных компаний, занимаясь промышленным шпионажем и выискивая способы добычи необходимой для того информации. Члены хакерской группы обманным путём с помощью психологических манипуляций вытягивали эту информацию из ничего не подозревающих работников фирмы и их окружения. Играя на вежливости и доверчивости сотрудников, хакеры постепенно вжились в роль сотрудников этой же компании, получая всё больше информации от своих «коллег». Подавляющая часть информации была получена не программными методами, а была выдана людьми фактически без особых усилий со стороны злоумышленников.

Как всем известно, где тонко, там и рвётся. И если представить систему безопасности в виде цепочки, то в качестве тонкого звена вскрылась простая человеческая отзывчивость, тем более, когда разговор шёл тет-а-тет. И здесь, как все понимают, антивирусы и брандмауэры оказались совершенно бессильны.

Социальная инженерия, в точности, как и хакерство, подразумевает поиск слабых мест в системе безопасности фирмы с целью сбора конфиденциальной информации, способов доступа к закрытым данным. Основными целями охотников традиционно являлись больницы, государственные учреждения, банки, хотя в принципе, от такого направления, как социальная инженерия не застрахована ни одна организация, чья информация может представлять интерес для злоумышленника или конкурента, не брезгующего «серыми» инструментами.

Почему же социальная инженерия становится всё более распространённой? Ответ очевиден – узнать пароль к банковской карте человека проще, его спросив, нежели применяя технические или программные средства. Даже специалисты с отличными навыками в области взлома признают и пользуются элементами социотехники всё чаще, не прибегая к техническим навыкам. В офисе банка к вам может подойти человек, представившись консультантом и задав пару уточняющих вопросов, или уборщик (электрик, сантехник) взглянет через плечо на вашу анкету, и всё! Пусть там не будет жизненно важной информации, однако, позвонив вам домой, и, сообщив точно порядок ваших действий в банке, свидетелем которых он был лично, бьюсь об заклад,  «разведёт» вас мгновенно.

Социальная инженерия . Хакер на проводе!

Ещё одна популярная стратегия хакера и активно использующаяся форма взлома это телефонные переговоры. Он может позвонить клиенту какого-либо сервиса и представиться кем угодно, кто обладает определённым набором прав на такие переговоры. Схема в таком случае очень типична: хакер представляется работником администрации сервиса или услуги и выуживает у пользователя личную информацию под предлогом «навести порядок или исправить возникшие в программном сбое ошибки». Все вопросы, так или иначе, будут вращаться вокруг желаемой карты с пин-кодом и её номером. Если шкура стоит для хакера выделки, он не поленится покопаться в вашем «грязном белье», собрав много информации из открытых источников в социальных сетях, из телефонных справочников, то есть оттуда, где вы сами добровольно оставляете о себе информацию.

Почему социальная инженерия так эффективна?

Политика безопасности настолько же эффективна, насколько ей следуют. А человеческий фактор всегда был слабым звеном в любой цепочке. Ибо от глупости лекарства не придумали. И защиты здесь также не существует. Что ещё более напрягает в этом вопросе, так это тот факт, что крайне трудно диагностировать атаку на организацию, которая стартует именно со сбора по ней информации. Сведения о вас будут собирать очень полные, злоумышленники могут не торопиться с результатами, а жертва и знать ничего не знает.

Вместо заключения

Социальная инженерия набирает у злоумышленников популярность. Использование электронных источников хранения и передачи информации упрощает эту задачу по сравнению с прошлыми годами в разы. И модели поведения, которая защитит вас от взлома, просто нет. Отказаться от социальных сетей означает сегодня для многих самоизоляцию. Контролировать чрезмерно услужливых работников за стойкой администратора невозможно. Телефонные справочники с адресами и ничего не подозревающие коллеги и друзья порой могут говорить сами за себя. Жизненный опыт, знание принципов работы и безопасности сервисов, которыми вы пользуетесь – единственный барьер, ограждающий вас от убытков.

Успехов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Максимальный размер загружаемого файла: 50 МБ. Вы можете загрузить: изображение, видео. Ссылки на YouTube, Facebook, Twitter и другие сервисы, вставленные в текст комментария, будут автоматически встроены. Перетащите файлы сюда